收集 ServiceNow Security 記錄
支援的國家/地區:
Google SecOps
SIEM
總覽
這個剖析器會從 ServiceNow JSON 記錄中擷取安全性事件資料,並將相關欄位對應至 UDM。這項服務會處理各種事件類型,例如登入和權限變更,並填入主體/目標使用者資訊、IP 位址,以及供應商和產品詳細資料等中繼資料。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體。
- ServiceNow Security 的特殊存取權。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 「SIEM 設定」>「動態消息」
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態饋給」,設定動態饋給
如要設定動態消息,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態消息」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中輸入動態饋給的名稱,例如「ServiceNow Security Logs」。
- 選取「Webhook」做為「來源類型」。
- 選取「ServiceNow Security」做為「記錄類型」。
- 點選「下一步」。
- 選用:指定下列輸入參數的值:
- 分割分隔符號:用於分隔記錄行的分隔符號,例如
\n。
- 分割分隔符號:用於分隔記錄行的分隔符號,例如
- 點選「下一步」。
- 在「Finalize」畫面中檢查動態饋給設定,然後按一下「Submit」。
- 按一下「產生密鑰」,產生驗證這個動態消息的密鑰。
- 複製並儲存密鑰。您無法再次查看這個密鑰。如有需要,您可以重新產生新的密鑰,但這項操作會使先前的密鑰失效。
- 在「詳細資料」分頁中,從「端點資訊」欄位複製動態消息端點網址。您需要在用戶端應用程式中指定這個端點網址。
- 按一下 [完成]。
從內容中心設定動態饋給
為下列欄位指定值:
- 分割分隔符號:用於分隔記錄行的分隔符號,例如
\n。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 來源類型:將記錄收集到 Google SecOps 的方法。
- 資產命名空間:與動態饋給相關聯的命名空間。
擷取標籤:套用至這個動態饋給所有事件的標籤。
按一下「產生密鑰」,產生驗證這個動態消息的密鑰。
複製並儲存密鑰。您無法再次查看這個密鑰。如有需要,您可以重新產生新的密鑰,但這項操作會使先前的密鑰失效。
在「詳細資料」分頁中,從「端點資訊」欄位複製動態消息端點網址。您需要在用戶端應用程式中指定這個端點網址。
為 Webhook 資訊提供建立 API 金鑰
前往 Google Cloud 控制台 > 憑證。
按一下 [Create credentials] (建立憑證),然後選取 [API key] (API 金鑰)。
將 API 金鑰存取權限制在 Google Security Operations API。
指定端點網址
- 在用戶端應用程式中,指定 webhook 動態饋給中提供的 HTTPS 端點網址。
如要啟用驗證,請在自訂標頭中指定 API 金鑰和私密金鑰,格式如下:
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRET建議:請將 API 金鑰指定為標頭,而非在網址中指定。
如果 Webhook 用戶端不支援自訂標頭,您可以使用查詢參數指定 API 金鑰和密鑰,格式如下:
ENDPOINT_URL?key=API_KEY&secret=SECRET更改下列內容:
ENDPOINT_URL:動態消息端點網址。API_KEY:用於向 Google SecOps 進行驗證的 API 金鑰。SECRET:您產生的密鑰,用於驗證動態饋給。
在 ServiceNow 中設定 Webhook
- 使用具備特殊權限的帳戶登入 ServiceNow Security。
- 依序前往「Configuration」>「Monitoring」>「Connections」。
- 按一下「新增」 。
- 選取「Webhook」。
- 指定下列參數的值:
- 名稱:為 Webhook 提供描述性名稱 (例如「Google SecOps」)。
- 網址:輸入 Google SecOps ENDPOINT_URL,並提供 API_KEY 和 SECRET。
- 按一下「儲存」即可完成 Webhook 設定。
UDM 對應
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| created_by | target.user.userid | 如果 snc_user 為空,則會對應至 target.user.userid。 |
| 活動 | metadata.product_event_type | 直接從原始記錄欄位「event」對應。 |
| event_created | metadata.event_timestamp.seconds | 使用 date 篩選器,將原始記錄欄位「event_created」轉換為秒數。 |
| ip_address | principal.ip | 如果原始記錄欄位「ip_address」不為空白,則直接對應。 |
| snc_user | target.user.userid | 如果原始記錄欄位「snc_user」不為空白,則直接對應。 |
| 使用者 | principal.user.userid | 如果原始記錄欄位「user」不為空白或「null」,則直接對應。 |
| extensions.auth.type | 如果 event 欄位為「Failed Login」、「SNC Login」、「Admin Login」或「Impersonation」,請設為「MACHINE」。 |
|
| metadata.event_type | 如果 event 欄位為「Failed Login」、「SNC Login」、「Admin Login」或「Impersonation」,請設為「USER_LOGIN」。如果 event 欄位為「Security Elevation」,請設為「USER_CHANGE_PERMISSIONS」。 |
|
| metadata.log_type | 硬式編碼為「SERVICENOW_SECURITY」。 | |
| metadata.product_name | 硬式編碼為「SERVICENOW_SECURITY」。 | |
| metadata.vendor_name | 硬式編碼為「SERVICENOW」。 | |
| principal.user.userid | 如果 user 欄位空白或為「null」,請設為「UNKNOWN」。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。